Memcached を踏み台にしたとみられる DDoS 攻撃に関する覚え書き

脆弱性の内容

memcached は，名前の通り，分散型メモリキャッシュ・システムである。 この memcached を踏み台にしたとみられる大規模な DDoS 攻撃（Distributed Denial of Service attack）が観測されている。

• memcached のアクセス制御に関する注意喚起
• 【重要】memcachedのアクセス制御に関する注意喚起 | さくらインターネット
• memcached を悪用したDDoS攻撃についてまとめてみた - piyolog

1.2.7 以降の memcached をデフォルト設定のまま利用している場合， 11211/tcp および 11211/udp のポートがアクセス可能な状態になっている場合があるそうだ。 このポートを利用して memcached が保持する情報へアクセスしたり他サーバへの攻撃の踏み台にされる可能性がある。

影響を受ける製品

• memcached 1.2.7 以降 1.5.6 未満でデフォルト設定のまま利用している場合

対策・回避策

memcached へアクセスできるアドレスやポートを制限する。 memcached のセキュリティ設定については以下のページが参考になる。

• CentOSにMemcachedをインスト－ル | suka4’s memo

なお 2018-02-27 にリリースされた 1.5.6 ではデフォルト設定でポートをオープンしないようになっているようだ。

• ReleaseNotes156 · memcached/memcached Wiki

DDoS 攻撃の踏み台として使われるのは memcached だけではない。 ソフトウェアを常に最新に保つとともにアドレス制限を含む適切な設定を行う必要がある。

• UDP-Based Amplification Attacks

ブックマーク

• Memcached脆弱性でDDoS踏み台に使われて、プロバイダによるネットワーク制限発生 - Qiita
• GitHubに最大1.35TbpsのDDoS攻撃発生。断続的にサービス停止も、短時間で復旧果たす | TechCrunch Japan
• 第2回　memcachedのセキュリティと脆弱性：memcachedの活用と運用 実践編｜gihyo.jp … 技術評論社
• memcachedの開放ポート(11211/tcp, 11211/udp)をサクっと確認する - ろば電子が詰まっている
• memcachedを用いたUDP Amplification攻撃 – wizSafe Security Signal -安心・安全への道標- IIJ
• In-the-wild DDoSes use new way to achieve unthinkable sizes | Ars Technica
  • New DDoS Reflection-Attack Variant - Schneier on Security
• 【重要】さくらのVPS／クラウド／専用サーバにおけるポート使用状況確認のお願い | さくらインターネット
• DDoS攻撃、過去最大の1.7Tbpsを記録 - ZDNet Japan
• memcachedを悪用する攻撃、「キルスイッチ」で抑制できる可能性 - ZDNet Japan